Partilhar via

Habilitar e configurar com Infraestrutura como modelos de código

  • Artigo

Recomendamos que você habilite o Defender for Storage no nível de assinatura. Isso garante que todas as contas de armazenamento atualmente na assinatura estejam protegidas. As contas de armazenamento criadas após a ativação do Defender for Storage no nível de assinatura serão protegidas até 24 horas após a criação.

Gorjeta

Você sempre pode configurar contas de armazenamento específicas com configurações personalizadas que diferem das configurações definidas no nível da assinatura (substituir as configurações no nível da assinatura).

Modelo Terraform

Para habilitar e configurar o Microsoft Defender for Storage no nível de assinatura usando o Terraform, você pode usar o seguinte trecho de código:

resource "azurerm_security_center_subscription_pricing" "DefenderForStorage" {
  tier          = "Standard"
  resource_type = "StorageAccounts"
  subplan       = "DefenderForStorageV2"
 
  extension {
    name = "OnUploadMalwareScanning"
    additional_extension_properties = {
      CapGBPerMonthPerStorageAccount = "5000"
    }
  }
 
  extension {
    name = "SensitiveDataDiscovery"
  }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal de verificação de malware por conta de armazenamento, ajuste o CapGBPerMonthPerStorageAccount parâmetro ao seu valor preferido. Este parâmetro define um limite máximo de dados que podem ser verificados em busca de malware a cada mês por conta de armazenamento. Se quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido em 5.000 GB.

Desativando recursos:

Se você quiser desativar a verificação de malware ao carregar ou os recursos de deteção de ameaças de dados confidenciais, você pode remover o bloco de extensão correspondente do código Terraform.

Desativando todo o plano do Defender for Storage:

Para desativar todo o plano do Defender for Storage, defina o valor da tier propriedade como "Livre" e remova as subPlan propriedades e extension .

Saiba mais sobre o azurerm_security_center_subscription_pricing recurso consultando a documentação azurerm_security_center_subscription_pricing. Além disso, você pode encontrar detalhes abrangentes sobre o provedor Terraform para Azure na documentação do provedor Terraform AzureRM.

Modelo de bíceps

Para habilitar e configurar o Microsoft Defender for Storage no nível de assinatura usando o Bicep, verifique se o escopo de destino está definido como assinatura e adicione o seguinte ao seu modelo Bicep:

resource StorageAccounts 'Microsoft.Security/pricings@2023-01-01' = {
  name: 'StorageAccounts'
  properties: {
    pricingTier: 'Standard'
    subPlan: 'DefenderForStorageV2'
    extensions: [
      {
        name: 'OnUploadMalwareScanning'
        isEnabled: 'True'
        additionalExtensionProperties: {
          CapGBPerMonthPerStorageAccount: '5000'
        }
      }
      {
        name: 'SensitiveDataDiscovery'
        isEnabled: 'True'
      }
    ]
  }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal de verificação de malware por conta de armazenamento, ajuste o CapGBPerMonthPerStorageAccount parâmetro ao seu valor preferido. Este parâmetro define um limite máximo de dados que podem ser verificados em busca de malware a cada mês por conta de armazenamento. Se quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido em 5.000 GB.

Desativando recursos:

Se quiser desativar a verificação de malware ao carregar ou os recursos de deteção de ameaças de dados confidenciais, altere o isEnabled valor para Falso na descoberta de dados confidenciais.

Desativando todo o plano do Defender for Storage:

Para desativar todo o plano do Defender for Storage, defina o valor da pricingTier propriedade como Free e remova as subPlan propriedades e extensions .

Saiba mais sobre o modelo Bicep na documentação de segurança/preços da Microsoft.

Modelo Azure Resource Manager

Para habilitar e configurar o Microsoft Defender for Storage no nível de assinatura usando um modelo do Azure Resource Manager (ARM), adicione este trecho JSON à seção de recursos do seu modelo ARM:

{
    "type": "Microsoft.Security/pricings",
    "apiVersion": "2023-01-01",
    "name": "StorageAccounts",
    "properties": {
        "pricingTier": "Standard",
        "subPlan": "DefenderForStorageV2",
        "extensions": [
            {
                "name": "OnUploadMalwareScanning",
                "isEnabled": "True",
                "additionalExtensionProperties": {
                    "CapGBPerMonthPerStorageAccount": "5000"
                }
            },
            {
                "name": "SensitiveDataDiscovery",
                "isEnabled": "True"
            }
        ]
    }
}

Modificando o limite mensal para verificação de malware:

Para modificar o limite mensal para verificação de malware em suas contas de armazenamento, ajuste o CapGBPerMonthPerStorageAccount parâmetro para seu valor preferido. Este parâmetro define um limite máximo de dados que podem ser verificados em busca de malware a cada mês, por conta de armazenamento. Se quiser permitir a verificação ilimitada, atribua o valor -1. O limite padrão é definido em 5.000 GB.

Desativando recursos:

Se quiser desativar a verificação de malware ao carregar ou os recursos de deteção de ameaças de dados confidenciais, altere o isEnabled valor para Falso na descoberta de dados confidenciais.

Desativando todo o plano do Defender for Storage:

Para desativar todo o plano do Defender, defina o valor da pricingTier propriedade como Free e remova as subPlan propriedades e extension .

Saiba mais sobre o modelo ARM na documentação Microsoft.Security/Pricings.

Próximo passo

Saiba mais sobre a documentação da API Microsoft.Security/DefenderForStorageSettings .